题目链接
https://buuoj.cn/challenges#[DDCTF2018]%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90
解题过程
下载附件
打开流量分析.txt文件
根据提示要找到RSA KEY。过滤TLS流量,有加密数据传输,根据以前做题(参考:greatesapce)的经验flag很有可能就在里面,但是要先找到key。
key能藏在哪里呢?ftp、smtp?找找看看。过滤下ftp流量,发现下载了Fl-g.zip文件
直接搜索“504b0304”,然后追踪TCP流
将数据保存为zip文件,但是打开压缩包错误。传输过程中出现错误,于是放弃了。
再过滤SMTP看看如何。发现有邮件传输。
再用“smtp.data.fragment”过滤下
追踪TCP流,在TCP 2016流中发现在邮件附件里传了张png图片:image001.png。
将下面的base64数据复制下来,在线解下码:
下载图片打开
图片内容应该是要找的key,找个网站在线识别下:
复制结果,再和图片比对下,得到key
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
在线计算MD5,和题目提示的一样。
保存为文本文件,添加到wireshark-tls-rsa key里
在搜索http,追踪http流,最终找flag
DDCTF{0ca2d8642f90e10efd9092cd6a2831c0}
flag{0ca2d8642f90e10efd9092cd6a2831c0}
小结
1.知识点:wireshark数据包过滤、RSA KEY的使用、SMTP邮件协议。
2.要有足够的耐心,仔细查找。